rest - 忽略来自 Powershell Invoke-RestMethod 的自签名证书不起作用(再次更改...)

Question

在使用忽略证书验证的标准解决方案后，Invoke-RestMethod 返回:

Invoke-RestMethod : A system error occurred and has been logged.  Please try again later or contact your administrator.

我今天才注意到这个故障，所以我认为它与 Powershell 更新有关。 “标准解决方案”是指:

[System.Net.ServicePointManager]::ServerCertificateValidationCallback = { $true }

它在几个月前停止工作，并在添加到 Powershell 的 C# 类型中正确设置回调(下面的历史 中有描述)。

这是我的环境:

> $PSVersionTable

Name                           Value
----                           -----
PSVersion                      5.1.15063.674
PSEdition                      Desktop
PSCompatibleVersions           {1.0, 2.0, 3.0, 4.0...}
BuildVersion                   10.0.15063.674
CLRVersion                     4.0.30319.42000
WSManStackVersion              3.0
PSRemotingProtocolVersion      2.3
SerializationVersion           1.1.0.1

这里有一点历史，所以这个问题不会因为重复而被关闭。

历史

如果您在 Google 上搜索或搜索 StackOverflow，您会发现这个问题带有一些预设回复。然而，今天我注意到所有的标准解决方案都不再有效了。

Powershell 给出的标准错误是:

Invoke-RestMethod : The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.

各地论坛给出的标准答案是在调用Invoke-RestMethod之前使用这个命令:

[System.Net.ServicePointManager]::ServerCertificateValidationCallback = { $true }

但如果您使用的是最新版本的 Windows 10/2016 和 Powershell，那么您对 ​​Invoke-RestMethod 的调用将返回:

Invoke-RestMethod : The underlying connection was closed: An unexpected error occurred on a send.

找到了为什么会发生这种情况的解释 on Huddled Masses blog .可以概括为:

Setting the ServerCertificateValidationCallback to a scriptblock won't work for an asynchronous callback (one that happens on a task thread), because the other thread won't have a runspace to execute the script on.

最初，我一直在用这段代码解决这个问题:

if (-not ([System.Management.Automation.PSTypeName]"TrustAllCertsPolicy").Type)
{
    Add-Type -TypeDefinition  @"
using System.Net;
using System.Security.Cryptography.X509Certificates;
public class TrustAllCertsPolicy : ICertificatePolicy {
    public bool CheckValidationResult(
        ServicePoint srvPoint, X509Certificate certificate,
        WebRequest request, int certificateProblem)
    {
        return true;
    }
}
"@
}

if ([System.Net.ServicePointManager]::CertificatePolicy.ToString() -ne "TrustAllCertsPolicy")
{
    [System.Net.ServicePointManager]::CertificatePolicy = New-Object TrustAllCertsPolicy
}

但是，这在 Windows Server 2016 上不起作用，尽管它在 Windows 10 上运行良好。因此，基于 Huddled Masses我写这个是为了在 C# 中处理证书验证回调而不是脚本 block :

function Disable-SslVerification
{
    if (-not ([System.Management.Automation.PSTypeName]"TrustEverything").Type)
    {
        Add-Type -TypeDefinition  @"
using System.Net.Security;
using System.Security.Cryptography.X509Certificates;
public static class TrustEverything
{
    private static bool ValidationCallback(object sender, X509Certificate certificate, X509Chain chain,
        SslPolicyErrors sslPolicyErrors) { return true; }
    public static void SetCallback() { System.Net.ServicePointManager.ServerCertificateValidationCallback = ValidationCallback; }
    public static void UnsetCallback() { System.Net.ServicePointManager.ServerCertificateValidationCallback = null; }
}
"@
    }
    [TrustEverything]::SetCallback()
}
function Enable-SslVerification
{
    if (([System.Management.Automation.PSTypeName]"TrustEverything").Type)
    {
        [TrustEverything]::UnsetCallback()
    }
}

这在很长一段时间内都非常有效，但就在最近，当我调用 Invoke-RestMethod 时，我开始收到以下错误:

Invoke-RestMethod : A system error occurred and has been logged.  Please try again later or contact your administrator.

我知道正确的解决方案只是部署证书，但通常您只是想测试一下，而不必设置适当的 PKIX。

Answer 1

我想我已经将其缩小到我正在调用的网络服务中的更改。呸!

我在问题中列出的 Disable-SslVerification 和 Enable-SslVerification 函数仍然是最好的方法，而且似乎有效。

我很期待 Bacon Bits 在评论中提到的 -SkipCertificateCheck 开关。然后，我们可以停止黑客攻击。 =)

希望这个问题对试图解决相同问题但遇到An unexpected error occurred on a send 问题的人有值(value)。